是否反向代理交換

目前，我執行 Forefront TMG 將 Exchange 2010 反向代理到外部世界。

我現在正在準備一個 Exchange 2016 環境，隨著 Forefront TMG 的過時，我想要一個沒有它的解決方案。我現在將 pfSense 和 HAProxy 作為第一道防線和負載平衡。

我的問題是：您是否應該在負載均衡器和 Exchange 之間添加反向代理？這有什麼好處？這一切都從相同的管理程序和儲存基礎設施執行。

我知道 HAPrxoy 1.8 現在具有記憶體記憶體小對象的能力，這可能會加速 Web 服務。但另一方面，只有 OWA 和 ECP 有一些靜態內容。

有任何想法嗎？

問候，

羅納德

我有 Azure AD App 代理來前端我的本地 Exchange 環境。這樣做的原因是圍繞安全性。

使用外部代理層，您可以實現 Exchange 本身未實現的任何其他規則。IP 限制、geoIP 限制、多因素身份驗證等 - 無論您的代理支持什麼。

您沒有向執行 Windows 的 Exchange 伺服器開放埠 80 和 443，並且可能存在未知漏洞。顯然，您依賴於您的代理來減少漏洞 - 但即使它們被擁有，只要代理不是域成員並且處於某種形式的 DMZ 中，pwned 代理機器可以造成的損壞量do 希望比擁有的 Exchange 機器小得多。

警告 - 如果您的代理沒有為您提供更多安全功能和/或減少您的攻擊面，那麼您所做的只是使您的環境複雜化而沒有任何回報。

引用自：https://serverfault.com/questions/887796